Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Exemplu de metodologie privind evaluarea internă a riscurilor operaționale
generate de sistemele informatice
Managementul riscurilor
Conceptul de management al riscului
Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in

concordață cu politica organizațională de management a riscurilor. Managementul riscului
este integrat în activitățile zilnice prin roluri și responsabilități definite în toate domeniile de
activitate.
Managementul riscului ajută la includerea aspectelor de tratare a riscului în practicile de
management și la luarea deciziilor pe parcursul întregului ciclu de viață al activităților.
Managementul riscului poate să contribuie la maximizarea rezultatelor globale, dacă este
desfășurat într-o manieră integrată, în domenii precum:
 achizitia, testarea, operarea, mentenanța și casarea sistemelor informatice, împreună
cu interfețele acestora;
 controlarea consecințelor riscurilor operaționale generate de sistemele informatice;
 managementul, costurile și planificarea activităților referitoare la sistemele
informatice.
Acest proces adaugă valoare datelor produse, menținute și raportate în mod regulat, iar pentru
a asigura documentarea acestui proces, în evaluarea internă a riscurilor se constituie un
Registru al riscurilor operaţionale generate de utilizarea sistemelor informatice de către
oameni, procese, sisteme şi mediul extern. Acest registru poate fi integrat în înregistrul
general al riscurilor operaționale ale entității.
Procesul de management al riscului
In cadrul procesului de management al riscului, este analizat și evaluat tot spectrul de riscuri.
Evenimentele nedorite trebuie să fie analizate și evaluate din punctul de vedere al severității
(impactului) și al probabilității de apariție. Măsurile de diminuare a riscurilor vor fi analizate
și evaluate din perspectiva eficacității acestora, iar rezultatele măsurătorilor performanțelor și
a tendinței riscurilor vor fi utilizate pentru optimizarea resurselor alocate, pentru gestionarea
adecvată a riscurilor și pentru menținerea acestora în limitele de toleranță asumate de
conducerea organizației.
În cadrul procesului de management al riscurilor, informațiile referitoare la riscurile potențiale
sunt documentate și structurate, facilitându-se astfel luarea deciziilor pentru tratarea
corespunzătoare a acestora.
Rezultatul analizei și evaluarii riscurilor inerente, precum si ale riscurilor reziduale vor fi
comunicate către conducătorii organizației.
Identificarea, analiza si evaluarea riscurilor trebuie revizuită periodic sau atunci când situația
o impune: la modificarea modelului de business al organizație, la orice ajustare a structurii
organizatorice și a activităților ori a procedurilor de lucru în cadrul organizației, la schimbarea
1
tehnologiilor de procesare a informației, la modificări majore ale sistemului, în urma
aparițiilor unor incidente, în urma aplicării unor controale de risc etc.
Implementarea managementului riscului
Managementul riscului necesită implicarea tuturor factorilor atât a celor cu responsabilități

decizionale, cât și a celor cu atribuții executive din cadrul organizatiei și stabilirea de linii
clare de responsabilitate la nivelul tuturor structurilor organizatorice și decizionale.
Managementul riscului este un proces continuu, iterativ care constituie o parte integrantă a
activității curente din cadrul organizației.
Fiecare linie de business din cadrul unei organizații își va evalua toate categoriile de risc
relevante, înregistrându-le în registrul riscurilor. Se vor identifica toate potențialele probleme
operaționale în patru categorii: oameni, procese, sisteme/tehnologii și mediul extern,
incluzând externalizările și furnizorii externi de produse și servicii informatice și de
comunicații.
Registrul riscurilor operationale este structurat pe patru categorii:

1. Oameni
2. Procese
3. Sisteme/tehnologie
4. Extern
Riscuri aferente oamenilor pot fi, fără a se limita la:

- nerespectarea proceselor, procedurilor sau a instrucțiunilor de lucru;
- erori de introducere manuală sau de utilizare neadecvată a sistemelor informatice;
- cunostințe, experiență și pregătire insuficientă a personalului care utilizează sau
deservește sistemele informatice;
- personal insuficient;
- dependența de angajați cheie;
- lipsă de comunicare și cooperare între angajați;
- neraportarea erorilor sau greșelilor aferente sistemelor informatice;
- alterarea datelor;
- modificarea informațiilor sau a datelor din rapoarte, fără documentarea adecvată;
- conflict de interese între personalul care dezvoltă și cel care administrează sistemele
informatice ori între utilizatorii acestora;
- lipsa unei delimitări clare între rolurile persoanelor care accesează/administrează/
dezvoltă sistemele informatice;
- automulțumire;
- fraudă;
- operațiuni suspecte de spălarea banilor și finanțarea actelor de terorism;
- nerespectarea regimului de sancțiuni internaționale.
Riscuri aferente proceselor pot fi, fără a se limita la:

a) Riscuri de model: lipsa proceselor organizatorice (cel puţin referitoare la
managementul schimbării, al incidentelor, al problemelor, al nivelurilor de servicii, al
versionărilor, al capacităţii, al disponibilităţii și al proiectelor), erori de metodologie
2
sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea
pierderilor, complexitatea modelelor, control inadecvat al proceselor, software
neadecvate obiectivelor de activitate, insuficienţa guvernanţei corporative în acest
domeniu;
b) Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul

inadecvat al datelor și informațiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidențialitate, fraude;
c) Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și atribuțiilor,

depășirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri
de înregistrări contabile neadecvate, control inadecvat al activităților externalizate,
întreruperea furnizării serviciilor, neidentificarea operațiunilor în speță în funcție de
indicatorii de risc și variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi, fără a se limita la:

- sistem inadecvat de management al tehnologiei și securității;
- lipsa metodologiilor de dezvoltare si testare;
- capacitate insuficientă de procesare;
- întreruperi în funcționarea sistemelor (hardware, software, stocare, telecomunicații);
- căderi de rețea;
- întreruperii în furnizarea serviciilor prestate de furnizorii externi;
- sisteme inadecvate;
- protecție inadecvată împotriva malware;
- riscuri de compatibilitate;
- riscuri generate de furnizori/vânzători;
- erori de programare;
- coruperea datelor;
- riscuri de recuperare după dezastre;
- testare necorespunzătoare a recuperării în caz de dezastru;
- sistem inadecvat de actualizare tehnologică;
- sisteme învechite;
- servicii necorespunzătoare de suport pentru sisteme.
Riscuri aferente mediului extern pot fi, fără a se limita la:

- pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizației;
- întreruperi în furnizarea serviciilor prestate de furnizori externi;
- fraude și activități criminale externe;
- expuneri externe ale securității sistemelor;
- atacuri teroriste clasice sau informatice;
- criminalitate economică și/sau informatică;
- căderi ale alimentarii cu electricitate.
3
Structura organizației, sistemele informatice ale organizației și gestionarea
riscurilor operaționale generate de acestea
Domeniul prezentei analize de impact este reprezentat de urmatoarele:
Structura organizatorică
Entitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscurilor
operaționale are următoarele caracteristici:
Structura organizatorică
Structura organizatorică a entității este formată din următoarele compartimente (structuri

organizatorice funcționale):
1. ORGANUL SUPERIOR DE CONDUCERE: în funcție de tipul entității acesta poate

să fie consiliul de administrație sau consiliu de supraveghere;
2. CONDUCEREA EXECUTIVĂ: acesta poate să fie constituit din comitet director,
directori executivi, director general sau altă formă prin care se asigură conducerea
activităților curente ale entității și care duce la îndeplinire hotărârile organului superior
de conducere;
3. Compartiment RELAȚIA CU CLIENȚII (front office, vânzări, investitori, asigurați,
participanți, membri etc): desfășoară activitățile legate de relația cu persoanele externe
ale entității în vederea îndeplinirii obiectului principal de activitate (prestarea
serviciilor financiare autorizate, reglementate și supravegheate de ASF);
4. Compartiment OPERAȚIUNI: desfășoară toate activitățile curente care țin de
activitatea de bază a entității. Această structură organizatorică acoperă toate funcțiile
operaționale ale entității;
5. Compartiment FINANCIAR-CONTABILITATE: desfășoară activitățile referitoare la
operațiunile financiar-contabile și de raportare aferente înregistrăților contabile;
6. Compartimente FUNCȚII CHEIE ALE ENTITĂȚII: În această secțiune sunt
menționate mai multe structuri organizatorice distincte care asigură următoarele
funcții cheie, după caz: audit intern, control intern, conformitate, managementul
riscurilor, funcția actuarială, etc;
7. Compartiment TEHNOLOGIA INFORMAȚIEI: desfășoară activități specifice pentru
administrarea și dezvoltarea sistemelor informatice (software, hardware și
comunicații), inclusiv a paginilor de internet ale organizației;
8. Compartimente SUPORT: derulează activități de marketing, juridic, resurse umane,
cercetare-dezvoltare, analiză și altele asemenea
Arhitectura infrastructurii IT:
În descrierea activitatii organizației, referitor la sistemele informatice, s-a ținut cont de

următoarele aspecte:
- arhitectura IT (doi provideri, IDP/IPS, antivirus, firewall, servere, etc)
- de faptul că există un BCP (business continuity plan) care cuprinde:
 identificarea aplicațiilor critice a căror replicare este necesară în cadrul centrului de

recuperare;
4
 descrierea infrastructurii IT din cadrul organizației;
 descrierea sistemului de disaster recovery implementat;
 descrierea personalului disponibil în cadrul organizației;
 analiza de riscuri și impactul acestora;
 definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), în
vederea asigurarii QoS (Quality of Service) atât cu furnizorii de echipamente, cât și cu
furnizorii de sisteme de comunicații;
 descrierea modului de monitorizare a sistemului de disaster recovery în operarea
curentă;
 definirea evenimentelor critice de tip dezastru;
 definirea activităților, a pașilor și a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existența unei locatii alternative de procesare a datelor
- efectuarea back-up-urilor conform unor proceduri existente
- existența unei politici de securitate informatică cu următoarele obiective:
 Managementul securităţii informaţiei: Măsurile managementului securităţii

informaţiei vor fi implementate şi puse în aplicare în concordanţă cu obiectivele
securităţii informaţiei, declaraţiile, politicile, standardele şi procedurile stabilite de
conducerea organizației.
 Clasificarea informaţiei, sistemelor şi resurselor: Informaţiile, sistemele şi resursele
vor fi clasificate corespunzător nivelului şi tipului de protecţie cerut.
 Identificarea şi autentificarea: toate informaţiile şi sistemele cu care institutia pune
în vigoare propria identificare şi autentificare a angajaţilor, a altor utilizatori, terţelor
părţi şi sistemelor.
 Confidenţialitatea: confidenţialitatea tuturor datelor, informaţiilor, sistemelor,
documentelor şi software-urilor care este pusă în aplicare.
 Integritatea: integritatea datelor, informaţiilor, sistemelor, documentelor şi software-
urilor care este pusă în aplicare, în funcţie de cât de critică este resursa pentru
activitatea organizației.
 Contabilizarea: Contabilizarea şi responsabilitatea acţiunilor utilizatorilor trebuie să
fie clar definite şi puse în aplicare permanent.
 Disponibilitatea: Toate informaţiile şi sistemele trebuie să fie disponibile utilizatorilor
autorizaţi, atunci când este nevoie. , Sunt considerate oportune, în totalitate şi exacte
cu recuperarea oricăror date, informaţii, software sau sisteme pierdute datorită unor
evenimente nedorite şi neaşteptate ( ex.întreruperea sistemului în caz de dezastru).
 Non-repudierea: Este un concept pentru asigurarea că o parte vătămată într-o dispută
nu poate fi respinsă, sau contestată de o declaraţie de valabilitate. Sistemele trebuie să
asigure că o tranzacţie informatică nu poate fi ulterior respinsă (rejectată) de acea parte
vătămată.
5
 Controlul accesului fizic şi logic: Toate informaţiile şi sistemele vor fi asigurate
corespunzător şi riguros cu controale de acces fizic şi logic.
 Evaluarea riscului: Evaluarea ameninţărilor, impactului şi vulnerabilităţilor
informaţiilor a utilităţilor de procesare a informaţiilor şi a probabilităţii producerii
acestora.
 Managementul riscului: Procesul de identificare, revizuire şi reducere sau eliminare
a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.
 Instruirea şi conştientizarea privind securitatea informaţiei: Toţi angajaţii vor fi
supuşi unor programe de instruire şi conştientizare privind securitatea informaţiei.
 Rolurile şi responsabilităţile: Rolurile, responsabilităţile şi competențele decizionale
pentru toate părţile care au acces la resursele informatice sunt clar definite şi
comunicate.
 Conformitatea : Personalul precum şi alţi utilizatori trebuie să fie familiarizaţi şi să se
conformeze cu procedurile şi politicile băncii privind securitatea informaţiei.
 Monitorizarea securităţii informaţiei şi raportarea: Monitorizarea şi raportarea
măsurilor de securitate a informaţiei vor fi stabilite să detecteze şi să raporteze breşele
actuale şi suspecte şi vor asigura acţiuni de remediere ale acestora.
Prezentarea schematică a arhitecturii sistemelor informatice se regăsește în figura de mai
jos:
PROVIDER 1 PROVIDER 2
DataCenter / Locatie
alternativa
Router
Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)
Locatie
Disaster Recovery
Switch 1 Switch 2
Sever MAIL
Server / Solutie INTRANET

Backup
Server WEB Server Baze de Date Server Online Sever Aplicatii Intranet
Aplicatie Clienti
6
Analiza și Tratarea Riscurilor. Impactul Acestora
Organizatia a definit o abordare sistematica a evaluarii riscului in procedura internă pentru

Evaluarea riscului. Metoda utilizata tine cont de cerințele legale, reglementări și de
securitatea informațiilor activității organizației, precum și cele mai bune practici în domeniu.
S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si s-
au identificat nivelurile de risc acceptabile (apetitul și toleranța la risc).
Pentru abordarea sistematică a evaluării riscurilor sunt îndeplinite următoarele:

 S-au identificat operațiunile și activitățile organizației;
 S-au identificat sistemele informatice pe care se bazează operațiunile și activitățile
identificate anterior;
 S-au identificat riscurile operaționale generate de sistemele informatice;
 S-au identificat factorii de risc (amenințările) la care care facilitează expunerea la
riscurile operaționale.
 S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste amenințări.
 S-a stabilit impactul și daunele asupra organizației în cazul pierderii confidentialității,
integrității și disponibilității sistemelor informatice.
 S-a evaluat probabilitatea reală ca aceste evenimente să se producă.
Au fost evaluate nivelurile riscului inerent si s-a determinat dacă riscul este acceptabil sau
necesită tratare. În schema de mai jos find prezentată relaționarea dintre elementele utilizate la
evaluarea internă a riscurilor operaționale.
Exploateza
Amenintarile Vulnerabilitatile
Cresc Cresc Afecteza

Protejeaza
impotriva
Masuri de Reduc Afecteza

RISCURILE Bunuri
securitate
Implementate prin Au
Indica Cresc
Cerinte de Valoare bunuri

securitate
Da
Impactul potential asupra
afacerii
Fiecare responsabil de proces (coordonator de unitate funcțională) a identificat resursele de

valoare și activitățile din cadrul structurii organizatorice (birou, serviciu, compartiment,
departament, direcție etc) care sunt expuse la riscuri operaționale generate de sistemele
informatice.
Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):

 Informatii in format electronic (baze de date, fisiere de date, liste clienți -
investitori, participanți, asigurați etc-, structuri ale bazelor de date, mesaje e-mail,
fișiere cu preturi etc.);
7
 Documente tipărite (manuale de utilizare, manual și suport pentru instruiri,
ghiduri, licențe, contracte furnizori / clienți, comunicări, facturi, rezultate
financiare, înregistrări referitoare la personalul angajat – adrese, atestari etc.);
 Software (sistemul de operare, aplicatii, utilitare etc)
 Bunuri fizice (calculatoare, servere, echipamente de comunicare și securitate,
suport media magnetic, etc);
 Persoane (angajați, clienți, furnizori etc.);
 Servicii (disponibilitate servicii de retea, telecomunicatii, încălzire, iluminat,
alimentare cu apă, alarmare, servicii de stingerea incendiilor, etc.);
 Imagine și reputatie (mijloacele de livrare a produselor sau prestare a
serviciilor, certificari existente, paginile de internet ale organizației etc.).
Stabilirea valorii resurselor și a operațiunilor
Pentru stabilirea valorii resurselor și a operațiunilor, s-au luat in considerare, numai resursele
informatice și operațiunile care presupun interacțiunea cu aceste resurse. S-a definit valoarea
resurselor/operațiunilor utilizand următoarea scară de valori în funcție de impactul asupra
organizației:
1 – puțin importantă;
2 – necesară;
3 – vitală;
Pentru stabilirea valorilor se analizează importanța, gradul de dependență față de
resursă/operațiune și pericolul pe care îl reprezintă pentru procesele organizației, asupra
organizației in general și asupra clienților acesteia, atunci cand informația sau resursa își
pierde integritatea, confidențialitatea și disponibilitatea.
Identificarea factorilor de risc
Pentru identificarea factorilor de risc se întocmește o listă a tuturor amenințărilor aplicabile,

iar pentru fiecare amenințare se identifică vulnerabilitatile existente.
Pentru calcularea riscului se definesc, în continuare:
 Probabilitatea riscului (probalilitatea exploatării vulnerabilității),

Probabilitatea de a se manifesta în conditiile date este evaluată astfel:
Grad 1 2 3
Probabilitate Neglijabilă Slabă Mare
Descriere Practic nu poate apare Poate apare în Este probabil să se producă.
în condiții obișnuite. conditii obisnuite, Acest risc este rezonabil sa se
Istoric nu au fost dar frecvența producă în perioada imediat
semnalate situații. apariției este rară. următoare.
 Nivelul vulnerabilitatii (poate să apară un incident pentru ca vulnerabilitatea

să fie mai greu sau mai ușor exploatată ).
8
Criteriile pentru evaluarea vulnerabilitatii sunt:
Grad 1 2 3
Criterii Neglijabilă Medie Mare
Descriere Există protecții sigure, Vulnerabilitatea poate fi Usor de exploatat,
testate și verificate, exploatată, există protecția este foarte
condițiile existente conduc protecții implementate, slabă, ineficace în
la concluzia că, practic, nu dar acestea nu au fost multe situații sau
poate fi exploatată aceasta testate și verificate pentru tehnic uzată moral.
vulnerabilitate. toate cazurile.
Pentru evaluarea riscurilor şi a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activităților desfășurate de organizație, sistemelor informatice sau a
informaţiilor se realizează matricea nivelului de risc.
Nivelul riscului este o funcţie de probabilitatea de producere a unui eveniment nedorit şi de

nivelul vulnerabilității asupra activităților, informațiilor sau sistemelor informatice ale
organziației.
Pentru exemplificare, a fost realizată o matrice 3x3 corespunzătoare următoarelor niveluri de

risc:
1. Risc mic;
2. Risc mediu;
3. Risc mare.
Exemplu matrice niveluri de risc

VULNERABILITATE
MARE Risc Mediu Risc Mare Risc Mare
MEDIE Risc Mic Risc Mediu Risc Mare
NEGLIJABILÃ Risc Mic Risc Mic Risc Mediu
NEGLIJABILÃ SLABÃ MARE
PROBABILITATE
9
În cazul în care organizația utilizează o altă matrice de risc prin folosirea mai multor niveluri
de vulnerabilități și probabilități (4x4 sau 5x5) și a mai multor niveluri de risc (4 sau 5), se va
menține practica curentă.
Activităţi necesare identificării şi evaluării riscurilor şi a măsurilor de securitate
Conducătorii structurilor organizatorice şi întreg personalul ce le compun au obligaţia de a

identifica, evalua și raporta riscurile operaționale generate de sistemele informatice. Aplicarea
cadrului pentru gestionarea riscurilor generate de sistemele informatice într-o organizație
presupune parcurgerea următoarelor etape:
1. analiza preliminară a riscului;
2. identificarea și evaluarea riscurilor;
3. revizuirea și raportarea situației riscurilor;
4. stabilirea limitelor de toleranță;
5. implementarea și monitorizarea măsurilor de control al riscurilor.
Analiza preliminară
Persoana care identifică un risc analizează preliminar riscul identificat, procedând, pentru
documentarea procesului de evaluare, la completarea unui formular de „Alertă la risc ” -
stabilit de fiecare organizație și prezentat ca exemplu la finalul acestei secțiuni – cu
respectarea următoarelor etape:
1 descrierea nartativă a riscului, cu respectarea următoarelor reguli:
 riscul este o situaţie, eveniment, care poate să apară. Riscul este o incertitudine
şi nu ceva sigur;
 nu se identifică riscuri care nu afectează organizația;
 problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri în
situaţii repetitive din cadrul aceleiaşi structuri organizatorice sau pentru alte
structuri organizatorice în care astfel de riscuri nu s-au materializat;
 riscurile nu trebuie definite numai prin impactul lor asupra activităților
organizației. Impactul nu este risc, ci consecinţa exploatării unei vulnerabilități;
 riscurile nu se descriu prin negarea unei situații;
 problemele care vor apărea cu siguranţă, nu constituie riscuri, ci certitudini;
 problemele a căror apariţie este imposibilă, nu constituie riscuri, ci ficţiuni.
2 prezentarea preliminară a cauzelor, descrierea circumstanţelor şi a factorilor care
favorizează apariţia riscului;
3 analizarea preliminară a consecinţelor asupra activităților și operațiunilor, în cazul
materializării riscului.
4 evaluarea preliminara a expunerii la risc se realizează prin:
a) stabilirea valorii resursei/operațiunii, pe o scală în trei trepte, ca fiind: puțin
importantă (valoare=1), necesară (valoare=2) sau vitală (valoare=3).
b) estimarea probabilităţii de apariţie a riscului, pe o scală în trei trepte, ca fiind:
neglijabilă (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilității sistemului informatic, pe o scală în trei trepte, ca
fiind: neglijabilă (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminară a nivelului riscului, conform matricei de risc, pe o
scală cu trei trepte, ca fiind: scăzut, mediu sau mare.
10
e) evaluarea preliminară a valorii riscului se realizează prin adunarea valorii
resursei, cu valoarea probabilității și cu cea a vulnerabilității. Valoarea
maximă a riscului este 9 (3+3+3 = 9 – resursa este vitală, probabilitatea este
mare și vulnerabilitatea este mare).
Notă: Explicaţiile asociate denumirii fiecărei trepte a scalelor de măsurare a valorii
resurselor, a probabilităţii de apariţie şi a vulnerabilității pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la măsurile de tratare (controalele de risc) ce ar trebuie
întreprinse pentru a gestiona riscul în mod adecvat, astfel încât să se încadreze în
limitele de toleranță;
6 formularul “Alertă la risc” completat corespunzător este trimis coordonatorului stucturii
organizatorice.
Formular alertă la risc
ORGANIZAȚIA ------------------------------
Structura organizatoricã: ------------------------------
DETALII PRIVIND RISCUL
Descrierea riscului Categorie resursã IT: ------------------------------------------------
Denumire resursã IT: ------------------------------------------------
Amenințãri (factori de risc):
1.---------------
2. --------------
3. --------------
4. --------------
5. --------------
Vulnerabilitate (descrierea riscului): -----------------------------
-----------------------------------------------------------------------------
Evaluare valorii
resursei
1 2 3
1. neimportantã; 2. necesarã; 3. vitalã.
Evaluarea riscului Evaluarea probabilitãții de apariție
1 2 3
1. neglijabilã; 2. medie; 3. mare.
Evaluarea vulnerabilitãții (impactului)
1 2 3
1. neglijabilã; 2. medie; 3. mare.
Opinie cu privire la Tipul de rãspuns la risc (strategia adoptatã): ---------
tipul de rãspuns la risc -----------
Mãsuri de control le riscului recomandate:--------------------------
------------------------------------------------------------------------
Documentația utilizatã pentru fundamentarea riscului identificat (dacã este cazul):----------
------------------------------------------------------------------------------------------
Nume: Semnãtura: Data întocmirii:
--------------------- --------------------- zz/ll/aaaa
11
Identificarea și evaluarea riscurilor
Coordonatorul structurii organizatorice analizează fiecare formular “Alertă la risc”, primit de

la persoanele care au efectuat analiza preliminară a riscurilor, propunând:
1 clasarea formularului “Alertă la risc”, dacă riscul este nerelevant;
2 înregistrarea riscului ca aparţinând activității sau operațiuni care se bazează pe
sistemul informatic utilizat/administrat de structura organizatorică, caz în care
confirmă existența riscului la nivelul structurii organizatorice, stabilește/confirmă
nivelul riscului și propune cel puțin o măsură de tratare a acestuia.
După finalizarea acţiunii de analiză preliminară a riscurilor, conducătorul structurii
organizatorice, centralizează rezultatele analizei datelor/informaţiilor cuprinse în formularele
“Alertă la risc”, la care anexează documentaţia privind riscurile nou-identificate.
În cadrul analizei „alertelor la risc” conducătorul structurii organizatorice desfăşoară
următoarele acţiuni:
1 deliberează asupra tuturor riscurilor si stabileste riscurile pentru care să fie luată
decizia de “reţinere pentru gestionare” în cadrul structurii organizatorice;
2 propunerea de clasare pentru riscurile considerate nerelevante;
3 deliberează asupra riscurilor propuse spre includere în Registrul Riscurilor şi face
propuneri de completare a Registrului Riscurilor, cel puţin în următoarele situaţii:
a) măsurile prin care se realizează un control satisfăcător al riscurilor exced
competenţelor decizionale ale structurii organizatorice;
b) resursele structurii organizatorice sunt insuficiente;
c) se identifică riscuri externe structurii organizatorice, dar al căror impact
afectează obiectivele stabilite pentru acesta.
4 efectuează, pentru fiecare risc identificat şi evaluat, o comparare a expunerii la risc
cu limitele de toleranţă aprobate de conducerea organizației;
5 analizează rapoartele de audit, reţinând riscurile identificate prin acestea şi măsurile
de control recomandate a fi implementate;
6 formulează propuneri pentru conducerea organizației, pentru fiecare risc identificat şi
evaluat, cu privire la tipul de răspuns (strategia adoptată) considerat cel mai adecvat
dintre cele de mai jos, decizia finală cu privire la acest aspect aparţinând
conducătorului organizației:
a) acceptarea (tolerarea) riscului, în cazul riscurilor cu expunere scăzută
sau atunci când aplicarea unei strategii de răspuns la risc nu este posibilă;
b) monitorizarea permanentă a riscului, în cazul riscurilor cu impact
semnificativ, dar cu probabilitate mică de apariţie;
c) evitarea riscului, cu precizarea că aplicarea acestei strategii este limitată
în cazul activităţilor care ţin de obiectul de activitate al organizației și de
deciziile conducerii acesteia;
d) transferarea (externalizarea) riscului, îndeosebi în cazul riscurilor
pentru care se înregistrează doar cheltuieli financiare care pot fi acoperite
prin produse de asigurare;
e) tratarea (atenuarea) riscului, caz în care se identifică măsurile posibile
ce pot fi luate astfel încât riscurile să fie controlate satisfăcător, se
12
grupează în variante alternative, se alege varianta cea mai avantajoasă din
perspectiva raportului cost/beneficiu.
7 Stabilește ordinea de priorităţi în tratarea riscurilor reţinute pentru gestionare, astfel
încât expunerea la riscurile reziduale să se situeze în limitele de toleranţă aprobate;
8 stabilește măsurile de control ce trebuie luate în vederea reducerii nivelelui riscurilor
(reducerea probabilității sau a impactului), termenele-limită până la care acestea
trebuie implementate, precum şi persoanele responsabile cu implementarea lor prin
elaborarea unui planul pentru implementarea măsurilor de control.
Conducerea organizației și persoana (comitetul) desemnat de aceasta cu responsabilități
pentru gestionarea riscurilor, dacă există, desfăşoară următoarele acţiuni:
1 primește formularele de “Alertă la risc” şi documentaţia aferentă pentru riscurile
semnalate către fiecare structură organizatorică;
2 transmite persoanelor responsabile cu implementarea măsurilor de control,
modificarea măsurilor sau a termenelor pentru riscurile aflate deja în faza de
implementare a măsurilor de control intern;
3 iniţial intocmeşte şi ulterior completează, ori actualizează, după caz, Registrul
Riscurilor, respectivei organizații cu datele/informaţiile despre riscurile care sunt sau
care urmează a fi gestionate la nivelul tuturor structurilor organizatorice.
Revizuirea şi raportarea situaţiei riscurilor
Cel puţin anual sau ori de câte ori este cazul, conducătorii structurilor organizatorice asigură
analizarea stadiului implementării măsurilor de control, a eficacităţii acestora, precum şi
reevaluarea riscurilor din sfera lor de responsabilitate.
În cadrul procesului de revizuire, se analizează dacă:

1 riscurile persistă;
2 au apărut riscuri noi;
3 impactul şi probabilitatea riscurilor au suferit modificări, caz în se revizuiesc
nivelurile riscurilor;
4 sunt necesare noi măsuri de control de risc şi termene pentru implementarea acestora;
5 se impune reprioritizarea riscurilor;
Anual, conducătorii structurilor organizatorice elaborează un raport cu privire la desfăşurarea

procesului de gestionare/revizuire a riscurilor la nivelul structurii organizatorice. Raportul
cuprinde o sinteză a activităţilor desfăşurate, în perioada de raportare, în cadrul procesului de
gestionare a riscurilor, conţinând cel puţin următoarele aspecte:
1 activităţile derulate în perioada pentru care se întocmeşte raportul, în scopul tratării
riscurilor identificate;
2 riscuri noi, tipul de răspuns şi măsurile de control instituite pentru acestea;
3 rezultatele reevaluării riscurilor, în cazul în care riscurile au fost reevaluate în
perioada raportată;
13
4 menţiuni cu privire la întocmirea/actualizarea Registrului riscurilor;
5 alte aspecte/probleme considerate relevante, în legătură cu modul în care au fost
gestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea și revizuirea riscurilor cuprinde, distinct, două secţiuni
referitoare la:
 riscurile cu un nivel al expunerii ridicat şi foarte ridicat, care ar putea
afecta îndeplinirea obiectivelor specifice ale structurilor organizatorice;
 stadiul implementării planului, la data raportării.
Conducătorul structurii organizatorice transmite conducerii organizației și persoana
(comitetul) desemnat de aceasta cu responsabilități pentru gestionarea riscurilor, dacă există,
un exemplar al raportului, în vederea:
1 întocmirii şi actualizării Registrului Riscurilor la nivelul întregii organizații, prin
agregarea datelor/informaţiilor cuprinse în Registrul riscurilor de la nivelul fiecărei
structuri organizatorice;
2 întocmirii şi actualizării profilului de risc al organizației, prin regruparea riscurilor
identificate, evaluate şi ierarhizate în raport cu mărimea deviaţiei expunerii fiecărui
risc de la toleranţa la risc;
3 întocmirii raportului privind evaluarea internă a riscurilor operaționale generate de
sistemele informatice pentru transmiterea lui către ASF, în conformitate cu prevederile
art.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. În cadrul raportului se cuprinde,
distinct, o secţiune referitoare la riscurile cu un nivel al expunerii ridicat şi foarte
ridicat, care ar putea afecta îndeplinirea activitatea organizației.
În situaţia în care intervin modificări în conţinutul rapoartelor şi a registrelor de riscuri,
conducătorii structurilor organizatorice asigură transmiterea, cătreconducerea organizației, a
rapoartelor şi/sau registrelor revizuite în termenul cel mai scurt posibil, dar nu mai târziu de
15 zile de la modificarea acestora.
Pentru etapa iniţială, termenul pentru transmiterea la ASF a raportului privind evaluarea
internă a riscurilor operaționale generate de sistemele informatice este de 30 iunie 2016.
Stabilirea limitelor de toleranţă (toleranţa la risc)
Condurătorii fiecărei structuri organizatorice analizează, cel puţin o dată pe an, limitele de
toleranţă şi, dacă este cazul, propune revizuirea acestora, cel mai târziu până la sfărşitul lunii
februarie pentru anul în curs.
Propunerile privind limitele de toleranţă revizuite se aprobă de conducerea organizației
(Consiliul de administrație, Comitetul director sau Directorul general).
Toate riscurile trebuie controlate astfel încât expunerea la risc să se încadreze în limitele de
toleranţă aprobate.
Limitele de toleranţă la risc au caracter obligatoriu pentru structurile organizatorice şi au
aplicabilitate până la o nouă revizuire a acestora.
14
Implementarea şi monitorizarea măsurilor de control al riscurilor
Anual, până la finele lunii februarie, conducătorul fiecărei structuri organizatorice, întocmeşte
Planul pentru implementarea măsurilor de control ale riscurilor, pentru anul în curs, ţinând
cont şi de:
 deciziile conducerii organizației;
 recomandările cu privire la măsurile de control, cuprinse în rapoartele de audit
(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,
evaluările funcției de management al riscurilor).
După aprobare, conducătorul structurii organizatorice transmite persoanelor responsabile cu
implementarea măsurilor de control ale riscurilor, câte un exemplar al acestuia, pentru
aplicare, precum și conducerii organizației pentru includerea lor în raportul privind evaluarea
internă a riscurilor operaționale generate de sistemele informatice.
Responsabilii cu implementarea măsurilor de control informează semestrial şi ori de câte ori
este cazul, pe conducătorul structurii organizatorice, cu privire la stadiul implementării
măsurilor de control ale riscurilor, pentru analiză şi decizie.
Concluzii analiza riscuri
In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:
1. Definirea evenimentelor critice

Solutia si serviciile de protectie pentru gestionarea corespunzătoare a riscurilor operaționale
generate de sistemele informatice vor acoperi urmatoarele evenimente:
 Riscuri aferente oamenilor:
o nerespectarea proceselor, procedurilor sau a instrucțiunilor de lucru;
o erori de introducere manuală sau de utilizare neadecvată a sistemelor
informatice;
o cunostințe, experiență și pregătire insuficientă a personalului care utilizează
sau deservește sistemele informatice;
o personal insuficient;
o dependența de angajați cheie;
o lipsă de comunicare și cooperare între angajați;
o neraportarea erorilor sau greșelilor aferente sistemelor informatice;
o alterarea datelor;
o modificarea informațiilor sau a datelor din rapoarte, fără documentarea
adecvată;
o conflict de interese între personalul care dezvoltă și cel care administrează
sistemele informatice ori între utilizatorii acestora;
o lipsa unei delimitări clare între rolurile persoanelor care
accesează/administrează/ dezvoltă sistemele informatice;
o automulțumire;
o fraudă;
o operațiuni suspecte de spălarea banilor și finanțarea actelor de terorism;
o nerespectarea regimului de sancțiuni internaționale.
15
 Riscuri aferente proceselor:
o Riscuri de model: lipsa proceselor organizatorice (cel puţin referitoare la
managementul schimbării, al incidentelor, al problemelor, al nivelurilor de
servicii, al versionărilor, al capacităţii, al disponibilităţii și al proiectelor),
erori de metodologie sau de model, erori de evaluare, disponibilitatea
rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control
inadecvat al proceselor, software neadecvate obiectivelor de activitate,
insuficienţa guvernanţei corporative în acest domeniu;
o Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul
inadecvat al datelor și informațiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidențialitate, fraude;
o Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și
atribuțiilor, depășirea limitelor, riscuri de volum, riscuri de securitate, riscuri
de raportare, riscuri de înregistrări contabile neadecvate, control inadecvat al
activităților externalizate, întreruperea furnizării serviciilor, neidentificarea
operațiunilor în speță în funcție de indicatorii de risc și variabile analitice
prestabilite.
 Riscuri aferente sistemelor:
o sistem inadecvat de management al tehnologiei și securității;
o lipsa metodologiilor de dezvoltare si testare;
o capacitate insuficientă de procesare;
o întreruperi în funcționarea sistemelor (hardware, software, stocare,
telecomunicații);
o căderi de rețea;
o întreruperii în furnizarea serviciilor prestate de furnizorii externi;
o sisteme inadecvate;
o protecție inadecvată împotriva malware;
o riscuri de compatibilitate;
o riscuri generate de furnizori/vânzători;
o erori de programare;
o coruperea datelor;
o riscuri de recuperare după dezastre;
o testare necorespunzătoare a recuperării în caz de dezastru;
o sistem inadecvat de actualizare tehnologică;
o sisteme învechite;
o servicii necorespunzătoare de suport pentru sisteme.
o caderi echipamente IT
 Riscuri aferente mediului extern:
o pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate
de oameni ori factori din afara organizației;
o întreruperi în furnizarea serviciilor prestate de furnizori externi;
o fraude și activități criminale externe;
o expuneri externe ale securității sistemelor;
o atacuri teroriste clasice sau informatice;
o criminalitate economică și/sau informatică;
o căderi ale alimentarii cu electricitate.
16
2. Identificarea sistemelor informatice importante din cadrul organizatiei
În această secțiune vor fi evidențiate sistemele informatice importante, inclusiv principalele
caracteristici și versiunea în lucru la momentul evaluării.
3. Disponibilitatea sistemului
Sistemul și serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducerea
riscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa a
functionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru – in cadrul
sistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatii
operationale.
5. Restaurarea serviciilor (RTO - Recovery Time Objective)

Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului critic
care a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului de
catre site-ul de recuperare.
In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datorat
constrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,
convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului de
recuperare.
In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de
recuperare este de yy minute.
In anumite circumstante, in conditiile in care comutarea se realizeaza automat si nu s-a produs
un incident major, timp de recuperare poate fi redus substantial.
6. Pierderile de date (RPO - Recovery Point Objective)

Pierderile de date reprezinta valoarea reala a pierderilor de date din momentul producerii
incidentului pana la recuperarea acetuia, sau volumul de date care trebuie recreat pentru a se
asigura integritatea datelor.
Cantitatea de date acceptate a fi pierdute in cazul unui dezastru depind de urmatorii factori:
 cantitatea de date modificate (mediu/maxim) pe unitatea de timp;
 interdependenta dintre aplicatiile care compun sistemul informatic;
 calitatea, mediul si latimea de banda a conexiunilor dintre cele doua locatii.
Exemplul de evaluare internă a riscurilor operaționale generate de sistemele informatice

În tabelul de mai jos este prezentat un exemplu de evaluare internă a riscurilor operaționale
generate de sistemele informatice aplicată pentru o organizație ipotetică a cărei structură
organizatorică și infrastructură IT a fost descrisă la începutul materialului.
17
Exemplul de evaluare internă a riscurilor operaționale generate de sistemele informatice (registrul riscurilor operaționale IT)
Categorie Valoare Valoare Valoare Masuri de

Valoare
Resursă/ Denumire sistem informatic resursa / Risc (descriere / amenintare) Vulnerabilitate (factori de risc) probabili- vulnerabi control al
risc
Activitate activitate tate li-tate riscului
[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]
Categoria 1 - riscuri operaționale OAMENI
Conducerea executivă
Stație de lucru / bază de date / nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia
Conducerea
sisteme informatice 3 procedurilor sau a instrucțiunilor in care conducerea executiva nu respecta 1 3 7 Anexa 1
societatii
importante de lucru procesele si procedurile de lucru
Stație de lucru / bază de date /
Conducerea Implementarea unor controale insuficiente sau
sisteme informatice 3 Automulțumire 1 3 7 Anexa 1
societatii ineficiente.
importante
Stație de lucru / bază de date / operațiuni suspecte de spălarea
Conducerea Lipsa filtrelor eficiente pentru tranzactiile
sisteme informatice 3 banilor și finanțarea actelor de 1 3 7 Anexa 1
societatii suspecte.
importante terorism
Stație de lucru / bază de date / Lipsa filtrelor eficiente pentru tranzactiile
Conducerea nerespectarea regimului de
societatii
sisteme informatice 3
sancțiuni internaționale
suspecte. Neaducerea la zi a noutatilor cu privire 1 3 7 Anexa 1
importante la sanctiunile internationale
Stație de lucru / bază de date / Lipsa verificarilor eficace. Lipsa principiului
Conducerea
societatii
sisteme informatice 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
importante drepturilor de acces in aplicatie.
Relatia cu clientii
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si lucru / bază de date / sisteme erori de introducere manuală sau
cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 de utilizare neadecvată a 1 3 7 Anexa 1
personalului financiar contabil
front-office sisteme informatice sistemelor informatice
importante
Personal si lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
front-office sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
18
Operatiuni
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
activitati informatice importante / Alte 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Personal si lucru / bază de date / sisteme nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia
activitati informatice importante / Alte 3 procedurilor sau a instrucțiunilor in care conducerea executiva nu respecta 1 3 7 Anexa 1
operatiuni sisteme informatice de lucru procesele si procedurile de lucru
importante
Personal si lucru / bază de date / sisteme
Implementarea unor controale insuficiente sau
activitati informatice importante / Alte 3 Automulțumire 1 3 7 Anexa 1
ineficiente.
operatiuni sisteme informatice
importante
Personal si lucru / bază de date / sisteme operațiuni suspecte de spălarea
Lipsa filtrelor eficiente pentru tranzactiile
activitati informatice importante / Alte 3 banilor și finanțarea actelor de 1 3 7 Anexa 1
suspecte.
operatiuni sisteme informatice terorism
importante
Personal si lucru / bază de date / sisteme Lipsa filtrelor eficiente pentru tranzactiile
nerespectarea regimului de
activitati informatice importante / Alte 3
sancțiuni internaționale
suspecte. Neaducerea la zi a noutatilor cu privire 1 3 7 Anexa 1
operatiuni sisteme informatice la sanctiunile internationale
importante
importante
operatiuni sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si lucru / bază de date / sisteme modificarea informațiilor sau a
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 datelor din rapoarte, fără 1 3 7 Anexa 1
supraveghere
operatiuni sisteme informatice documentarea adecvată
importante
19
operatiuni sisteme informatice sistemelor informatice
importante
operatiuni sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
activitati informatice importante / Alte 3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 de utilizare neadecvată a Procesarea eronata a unor operatiuni 1 3 7 Anexa 1
operatiuni sisteme informatice sistemelor informatice
importante
importante
Inexistenta unui back-up pentru persoanele cheie
activitati informatice importante / Alte 3 dependența de angajați cheie 1 3 7 Anexa 1
din companie. Proceduri de recrutare ineficiente.
importante
Personal si Sistem operatiuni / Stație de
activitati lucru / bază de date / sisteme 3 Personal insuficient 1 3 7 Anexa 1
operatiuni informatice importante / Alte
20
sisteme informatice
importante
lipsa unei delimitări clare între
rolurile persoanelor care
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1
sistemele informatice
importante
Sistem operatiuni / Stație de conflict de interese între
Personal si lucru / bază de date / sisteme personalul care dezvoltă și cel Inexistenta unor proceduri privind gestiunea
activitati informatice importante / Alte 3 care administrează sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 7 Anexa 1
operatiuni sisteme informatice informatice ori între utilizatorii a acesteia
importante acestora
cunostințe, experiență și
pregătire insuficientă a Buget de training insuficient. Lipsa implicarii
personalului care utilizează sau managementului in acest aspect.
1 3 7 Anexa 1
deservește sistemele informatice
importante
Personal si lucru / bază de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 alterarea datelor posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Personal si lucru / bază de date / sisteme nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni
activitati informatice importante / Alte 3 procedurilor sau a instrucțiunilor 2 3 8 Anexa 1
de lucru neimplementate sau inexistente
operatiuni sisteme informatice de lucru
importante
Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice
între angajați de la un departament catre altul
1 3 7 Anexa 1
importante
Personal si lucru / bază de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Financiar - contabilitate
Personalul si Sistem financiar contabil /
modificarea informațiilor sau a
activitati Stație de lucru / bază de date / Raportarea eronata catre autoritatile de
2 datelor din rapoarte, fără 1 3 6 Anexa 1
financiar sisteme informatice supraveghere
documentarea adecvată
contabile importante / Alte sisteme
21
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / erori de introducere manuală sau
activitati cunostinte si pregătire insuficiente a
sisteme informatice 2 de utilizare neadecvată a 1 3 6 Anexa 1
financiar personalului financiar contabil
importante / Alte sisteme sistemelor informatice
contabile
Personalul si
Stație de lucru / bază de date / Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati
financiar
sisteme informatice 2 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 6 Anexa 1
importante / Alte sisteme date impropriu al drepturilor de acces in aplicatie
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
importante / Alte sisteme
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1
contabile
Personalul si
Stație de lucru / bază de date / erori de introducere manuală sau
activitati
sisteme informatice 2 de utilizare neadecvată a Procesarea eronata a unor operatiuni 1 3 6 Anexa 1
financiar
importante / Alte sisteme sistemelor informatice
contabile
Personalul si
activitati
financiar
sisteme informatice 2 Frauda interna celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
Functii cheie ale entitatii
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
si activitati informatice importante / Alte 3 dependența de angajați cheie 1 3 7 Anexa 1
aferente sisteme informatice
importante
22
si activitati informatice importante / Alte 3 Personal insuficient 1 3 7 Anexa 1
importante
Tehnologia informatiei
lipsa unei delimitări clare între
Personal si rolurile persoanelor care
sisteme IT
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1
importante
sistemele informatice
conflict de interese între
Stație de lucru / bază de date / personalul care dezvoltă și cel Inexistenta unor proceduri privind gestiunea
Personal si
sisteme informatice 2 care administrează sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 6 Anexa 1
sisteme IT
importante informatice ori între utilizatorii a acesteia
acestora
cunostințe, experiență și
Personal si pregătire insuficientă a Buget de training insuficient. Lipsa implicarii
sisteme IT
personalului care utilizează sau managementului in acest aspect.
1 3 6 Anexa 1
importante
deservește sistemele informatice
Stație de lucru / bază de date / Alterarea datelor din sistemele informatice, fara
Personal si
sisteme IT
sisteme informatice 2 alterarea datelor posibilitatea identificarii autorului si a 1 3 6 Anexa 1
importante informatiilor initiale
Stație de lucru / bază de date / nerespectarea proceselor,
Personal si Procese organizatorice, proceduri si instructiuni
sisteme informatice 2 procedurilor sau a instrucțiunilor 2 3 7 Anexa 1
sisteme IT de lucru neimplementate sau inexistente
importante de lucru
Personal si Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice
sisteme IT
între angajați de la un departament catre altul
1 3 6 Anexa 1
importante
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Stație de lucru / bază de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 2 - riscuri operaționale PROCESE
Conducerea Procese organizatorice neimplementate sau
Stație de lucru / bază de date 3 lipsa proceselor organizatorice 2 3 8 Anexa 1
societatii inexistente
Controlul efectuat de personal necorespunzator.
Conducerea
Stație de lucru / bază de date 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
societatii
interne
Conducerea insuficienţa guvernanţei Inexistenta strategiei privind guvernanta
Stație de lucru / bază de date 3 1 3 7 Anexa 1
societatii corporative corporativa. Mecanisme de guvernanta
23
corporativa necorespunzatoare
Relatia cu clientii
Personal si Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati Sistem front-office 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office respectivi risc pentru clientii noi.
importante
importante
Operatiuni
Personal si lucru / bază de date / sisteme Tranzactionarea efectuata de catre personal
lipsa separării drepturilor și
atribuțiilor
necalificat sau fara atributii in domeniul 1 3 7 Anexa 1
operatiuni sisteme informatice respectiv
importante
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 depășirea limitelor 1 3 7 Anexa 1
financiare
importante
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 riscuri de volum
financiare
1 3 7 Anexa 1
importante
Personal si lucru / bază de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 riscuri de securitate posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 riscuri de raportare
supraveghere
1 3 7 Anexa 1
importante
24
riscuri de înregistrări contabile Procesarea eronata a tranzactiilor cu instrumente
neadecvate financiare
1 3 7 Anexa 1
importante
control inadecvat al activităților Lipsa unor controale interne cu privire la
externalizate activitati critice
1 3 7 Anexa 1
importante
Un sistem informatic critic nu poate fi accesat
activitati informatice importante / Alte 3 întreruperea furnizării serviciilor 1 3 7 Anexa 1
pentru o lunga perioada de timp
importante
neidentificarea operațiunilor în
Personal si lucru / bază de date / sisteme Neidentificarea indicatorilor de risc.
speță în funcție de indicatorii de
risc și variabile analitice
Parametrizarea necorespunzatoare a variabilelor 1 3 7 Anexa 1
operatiuni sisteme informatice analitice prestabilite.
prestabilite
importante
Procese organizatorice neimplementate sau
activitati informatice importante / Alte 3 lipsa proceselor organizatorice
inexistente
2 3 8 Anexa 1
importante
Personal si lucru / bază de date / sisteme Controlul efectuat de personal necorespunzator.
activitati informatice importante / Alte 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
operatiuni sisteme informatice interne
importante
Personal si lucru / bază de date / sisteme Inexistenta strategiei privind guvernanta
insuficienţa guvernanţei
corporative
corporativa. Mecanisme de guvernanta 1 3 7 Anexa 1
operatiuni sisteme informatice corporativa necorespunzatoare
importante
importante
activitati lucru / bază de date / sisteme 3 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1
25
sisteme informatice
importante
Inregistrarea eronata a unor operatiuni
activitati informatice importante / Alte 3 erori de înregistrare
economice
1 3 7 Anexa 1
importante
managementul inadecvat al Neasigurarea caracteristicilor informatiilor
datelor și informațiilor (consistenta, durabilitate)
1 3 7 Anexa 1
importante
Matching eronat datorat sistemelor informatice
erori de matching, compensare și utilizate. Erori in cadrul procesului de
colateral compensare. Erori in cadrul procesului de
1 3 7 Anexa 1
adecvare a colateralului clientilor
importante
Erori cauzate de neintelegerea naturii economice
activitati informatice importante / Alte 3 complexitatea produselor
de la baza unor produse financiare complexe
1 3 7 Anexa 1
importante
Capacitate insuficienta a bazelor de date de a
prelua informatiile. Capacitate insuficienta de
activitati informatice importante / Alte 3 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
financiare
importante
activitati informatice importante / Alte 3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Divulgarea de informatii sensibile catre mediul
activitati informatice importante / Alte 3 riscuri de confidențialitate 1 3 7 Anexa 1
exterior. Furt de date cu caracter personal
importante
Fraude cauzate de personal financiar contabil cu
activitati informatice importante / Alte 3 fraude
acces la multiple sisteme si niveluri informatice.
1 3 7 Anexa 1
importante
26
erori de metodologie sau de
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
importante
activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Personal si lucru / bază de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
operatiuni sisteme informatice a activelor din rezerve
importante
activitati informatice importante / Alte 3 complexitatea modelelor
1 3 7 Anexa 1
importante
Sofware fara functiile critice necesare. Software
software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
de activitate capacitate insuficienta de procesare a
1 3 7 Anexa 1
informatiilor.
importante
Personal si lucru / bază de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Personalul si
activitati
sisteme informatice 2 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1
financiar
contabile
Personalul si
activitati Inregistrarea eronata a unor operatiuni
financiar
sisteme informatice 2 erori de înregistrare
economice
1 3 6 Anexa 1
contabile
27
Personalul si
activitati managementul inadecvat al Neasigurarea caracteristicilor informatiilor
financiar
datelor și informațiilor (consistenta, durabilitate)
1 3 6 Anexa 1
contabile
Personalul si Matching eronat datorat sistemelor informatice
activitati erori de matching, compensare și utilizate. Erori in cadrul procesului de
financiar
colateral compensare. Erori in cadrul procesului de
1 3 6 Anexa 1
contabile adecvare a colateralului clientilor
Personalul si
activitati Erori cauzate de neintelegerea naturii economice
financiar
sisteme informatice 2 complexitatea produselor
1 3 6 Anexa 1
contabile
Personalul si Capacitate insuficienta a bazelor de date de a
activitati prelua informatiile. Capacitate insuficienta de
financiar
sisteme informatice 2 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
contabile financiare
Personalul si
activitati
financiar
sisteme informatice 2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
contabile
Personalul si
activitati Divulgarea de informatii sensibile catre mediul
sisteme informatice 2 riscuri de confidențialitate 1 3 6 Anexa 1
financiar exterior. Furt de date cu caracter personal
contabile
Personalul si
activitati Fraude cauzate de personal financiar contabil cu
financiar
sisteme informatice 2 fraude
acces la multiple sisteme si niveluri informatice.
1 3 6 Anexa 1
contabile
erori de metodologie sau de
si activitati informatice importante / Alte 3
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
importante
28
si activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
importante
Functii cheie bază de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
aferente sisteme informatice a activelor din rezerve
importante
si activitati informatice importante / Alte 3 complexitatea modelelor
1 3 7 Anexa 1
importante
Sofware fara functiile critice necesare. Software
Personal si software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
sisteme IT
de activitate capacitate insuficienta de procesare a
1 3 6 Anexa 1
importante
informatiilor.
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Stație de lucru / bază de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 3 - riscuri operaționale SISTEME
Sisteme care nu asigura functiile critice
Conducerea sistem inadecvat de management
Stație de lucru / bază de date 2 necesare. Inexistenta procedurilor de backup. 1 3 6 Anexa 1
societatii al tehnologiei și securității
Operabilitate redusa a sistemelor.
Relatia cu clientii
Personal si
activitati Sistem front-office 2 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 6 Anexa 1
front-office
importante
Personal si Sistem front-office / Stație de Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati lucru / bază de date / sisteme
2
informatiilor stocate in bazele de personalului financiar contabil. Management
1 3 6 Anexa 1
29
front-office informatice importante / Alte date impropriu al drepturilor de acces in aplicatie
sisteme informatice
importante
Operatiuni
Personal si lucru / bază de date / sisteme Sisteme care nu asigura functiile critice
sistem inadecvat de management
al tehnologiei și securității
necesare. Inexistenta procedurilor de backup. 1 3 7 Anexa 1
operatiuni sisteme informatice Operabilitate redusa a sistemelor.
importante
activitati informatice importante / Alte 3 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 7 Anexa 1
importante
Prezenta datelor invalide, sau a datelor ce nu pot
activitati informatice importante / Alte 3 coruperea datelor
fi accesate de către utilizatori
1 3 7 Anexa 1
importante
capacitate insuficientă de prelua informatiile. Capacitate insuficienta de
procesare personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
financiare
importante
Personal si lucru / bază de date / sisteme întreruperi în funcționarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice stocare, telecomunicații) telecomunicatii
importante
Inexistenta sistemelor de backup
activitati informatice importante / Alte 3 căderi de rețea 1 3 7 Anexa 1
corespunzatoare
importante
Personal si lucru / bază de date / sisteme întreruperii în furnizarea
Neraportarea incidentului către furnizor in timp
activitati informatice importante / Alte 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
operatiuni sisteme informatice externi
importante
protecție inadecvată împotriva
activitati lucru / bază de date / sisteme 3 Sisteme critice importante afectate de malware 1 3 7 Anexa 1
malware
30
sisteme informatice
importante
Personal si lucru / bază de date / sisteme Incapacitatea de a utiliza informatii sau fisiere
activitati informatice importante / Alte 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
operatiuni sisteme informatice software
importante
Personal si lucru / bază de date / sisteme Lipsa sistemelor de back-up pentru energie
riscuri generate de
furnizori/vânzători
electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice telecomunicatii
importante
Buguri, posibile brese de securitate, procesare
activitati informatice importante / Alte 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
riscuri de recuperare după Plan BCP necorespunzator sau necunoscut de
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
importante
testare necorespunzătoare a Locatie secundara improprie. Testarea
recuperării în caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
importante
sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Pierderi sau coruperea informatiilor existente.
activitati informatice importante / Alte 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Personal si lucru / bază de date / sisteme Dezvoltare improprie a sistemelor informatice.
lipsa metodologiilor de
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
operatiuni sisteme informatice business
importante
31
Personal si lucru / bază de date / sisteme Neconformitatea cu reglementarile legale
servicii necorespunzătoare de
suport pentru sisteme
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Personalul si
activitati Prezenta datelor invalide, sau a datelor ce nu pot
financiar
sisteme informatice 2 coruperea datelor
fi accesate de către utilizatori
1 3 6 Anexa 1
contabile
capacitate insuficientă de prelua informatiile. Capacitate insuficienta de
procesare personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
financiare
importante
Stație de lucru / bază de date / întreruperi în funcționarea Lipsa sistemelor de back-up pentru energie
Personal si
sisteme IT
sisteme informatice 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
importante stocare, telecomunicații) telecomunicatii
Personal si Inexistenta sistemelor de backup
sisteme informatice 3 căderi de rețea 1 3 7 Anexa 1
sisteme IT corespunzatoare
importante
Stație de lucru / bază de date / întreruperii în furnizarea
Personal si Neraportarea incidentului către furnizor in timp
sisteme IT
sisteme informatice 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
importante externi
Personal si protecție inadecvată împotriva
sisteme IT
malware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1
importante
Stație de lucru / bază de date / Incapacitatea de a utiliza informatii sau fisiere
Personal si
sisteme IT
sisteme informatice 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
importante software
Stație de lucru / bază de date / Lipsa sistemelor de back-up pentru energie
Personal si riscuri generate de
sisteme IT
furnizori/vânzători
importante telecomunicatii
Personal si Buguri, posibile brese de securitate, procesare
sisteme IT
sisteme informatice 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
Personal si Stație de lucru / bază de date / riscuri de recuperare după Plan BCP necorespunzator sau necunoscut de
sisteme IT sisteme informatice
3
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
32
importante
Personal si testare necorespunzătoare a Locatie secundara improprie. Testarea
sisteme IT
recuperării în caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
importante
Personal si sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
sisteme IT
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Personal si Pierderi sau coruperea informatiilor existente.
sisteme IT
sisteme informatice 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Stație de lucru / bază de date / Dezvoltare improprie a sistemelor informatice.
Personal si lipsa metodologiilor de
sisteme IT
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
importante business
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Router Incendiu incediilor
sisteme IT (Model , Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Personal si Incendiu incediilor
sisteme IT
IPS / IDS (Model , Serie) 3
2 3 8 Anexa 1
sisteme IT
Switch 1,2 (Model, Serie) 3
2 3 8 Anexa 1
sisteme IT
Server Mail (Model, Serie) 3
2 3 8 Anexa 1
Personal si Server Backup Incendiu incediilor
sisteme IT (Model, Serie)
3
2 3 8 Anexa 1
Personal si Server Web Incendiu incediilor
3
2 3 8 Anexa 1
Personal si Server BD Incendiu incediilor
3
2 3 8 Anexa 1
Personal si Server Aplicatie Online Administrare defectuasa Lipsa sistem automat de detectie si stingere a
sisteme IT Clienti
3
Incendiu incediilor
2 3 8 Anexa 1
33
(Model, Serie) Cutremur Lipsa sistem supraveghere video
Personal si Sever Aplicatii Intranet Incendiu incediilor
3
2 3 8 Anexa 1
N/A
Personal si Echipament1 locatie DR
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa – DataCenter
N/A
Personal si Echipament2 locatie DR
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa – DataCenter
Lipsa sistem automat de detectie si stingere a
Incendiu
Personal si incediilor
sisteme IT
Imprimante, scanere 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Incendiu
Personal si incediilor
sisteme IT
Echipament desktop 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Vulnerabilitati software
Erori de programare Lipsa testari periodice
Personal si Acces neautorizat Neaplicarea la timp a update-urilor necesare
sisteme IT
Aplicatie online clienti 3
Modificări neautorizate ale Pregătire de specialitate necorespunză-toare a
2 3 8 Anexa 1
software-ului sau datelor personalului.
Erori de programare
Erori de programare
Personal si Acces neautorizat Lipsa testari periodice
sisteme IT
Aplicatie contabilitate 3
Modificări neautorizate ale Neaplicarea la timp a update-urilor necesare
2 3 8 Anexa 1
software-ului sau datelor
Erori de operare
Lipsa testari periodice
Erori de programare
Neaplicarea la timp a update-urilor necesare
Personal si Acces neautorizat
sisteme IT
Aplicatie Intranet 3
Modificări neautorizate ale
2 2 7 Anexa 1
Pregătire de specialitate necorespunză-toare a
software-ului sau datelor
personalului.
Erori de programare
Personal si Solutie securitate IT Lipsa testari periodice
sisteme IT (antivirus, firewall, etc)
3 Erori de programare
Neaplicarea la timp a update-urilor necesare
3 3 9 Anexa 1
Acces neautorizat
Personal si Vulnerabilitati software. Acces Neaplicarea la timp a update-urilor necesare
sisteme IT
Licente Sistem Operare 1 3
neautorizat
2 3 8 Anexa 1
34
Configurarea necorespunzătoare a funcţiilor de
securitate ale sistemelor de operare
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Contracte 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
sisteme IT
Corespondenta 3
2 3 8 Anexa 1
sisteme IT
Arhiva date 3
2 3 8 Anexa 1
sisteme IT
Declaratii 3
2 3 8 Anexa 1
sisteme IT
Dosare personal 3
2 3 8 Anexa 1
sisteme IT
Decizii 3
2 3 8 Anexa 1
Suport
Functii suport Neconformitatea cu reglementarile legale
si activitati Stație de lucru / bază de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
aferente avizari autoritati locale)
Categoria 4 - riscuri operaționale EXTERNE
Conducerea Inexistenta unui back-up pentru persoanele cheie
Stație de lucru / bază de date 3 Pierderea persoanelor cheie 1 3 7 Anexa 1
societatii din companie. Proceduri de recrutare ineficiente.
lucru / bază de date / sisteme erori de introducere manuală sau
Conducerea cunostinte si pregătire insuficiente a
informatice importante / Alte 3 de utilizare neadecvată a 1 3 7 Anexa 1
societatii personalului financiar contabil
sisteme informatice sistemelor informatice
importante
lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
Conducerea
societatii
informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Relatia cu clientii
front-office sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si Sistem front-office / Stație de erori de introducere manuală sau
activitati lucru / bază de date / sisteme 3 de utilizare neadecvată a 1 3 7 Anexa 1
front-office informatice importante / Alte sistemelor informatice
35
sisteme informatice
importante
importante
Operatiuni
Personal si lucru / bază de date / sisteme întreruperi în furnizarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 serviciilor prestate de furnizori electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice externi telecomunicatii
importante
activitati informatice importante / Alte 3 Pierderea persoanelor cheie
1 3 7 Anexa 1
importante
importante
fraude și activități criminale
externe
celor patru ochi. Management impropriu al 1 3 7 Anexa 1
importante
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
catastrofice/dezastrelor naturale incediilor
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
factori din afara organizației Defectiune hardware
importante
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
informatice sistemelor informatice critice
1 3 7 Anexa 1
importante
Personal si
lucru / bază de date / sisteme criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
activitati
informatice importante / Alte
3
informatică sistemelor informatice critice
1 3 7 Anexa 1
operatiuni
sisteme informatice
36
importante
Personal si lucru / bază de date / sisteme Lipsa sistemelor de back-up pentru energie
căderi ale alimentarii cu
electricitate
operatiuni sisteme informatice telecomunicatii
importante
expuneri externe ale securității incediilor
sistemelor Lipsa sistem supraveghere video
1 3 7 Anexa 1
Defectiune hardware
importante
Personal si lucru / bază de date / sisteme Neconformitatea cu reglementarile legale
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Personalul si
activitati fraude și activități criminale
financiar
externe
celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
catastrofice/dezastrelor naturale incediilor
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
factori din afara organizației Defectiune hardware
importante
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
informatice sistemelor informatice critice
1 3 7 Anexa 1
importante
criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
informatică sistemelor informatice critice
1 3 7 Anexa 1
importante
Functii cheie Lipsa sistemelor de back-up pentru energie
bază de date / sisteme căderi ale alimentarii cu
si activitati
informatice importante / Alte
3
electricitate
aferente telecomunicatii
sisteme informatice
37
importante
Personal si expuneri externe ale securității incediilor
sisteme IT
sistemelor Lipsa sistem supraveghere video
1 3 6 Anexa 1
importante
Defectiune hardware
Suport
Functii suport Neconformitatea cu reglementarile legale
si activitati Stație de lucru / bază de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
aferente avizari autoritati locale)
38
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Mãsuri de control al riscului
Amenințare prod.
Crt nedorit asociatã Impact risc
even.
1. Producerea Incendiu Absența unui sistem automat de Mica Mare Mediu Implementate
unui incendiu detectie si stingere a incendiului. -Verificarea si intreținerea instalațiilor.
-Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up,
persoanele autorizate și verificarea periodicã.
1. -Exista BCP, locatie alternativa de procesare a datelor.
2. - Instruirea personalului autorizat al sistemului privind modul de acțiune la incendiu.
3.
Masuri viitoare
4.-Existența unor mijloace automate de detectie si stingere a incendiului
5.-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
2. Producerea Cutremur Lipsa planurilor de continuare a Mica Mare Mediu Implementate
unui activitatii sau a procedurilor de 1. -Structura de rezistențã a clãdirii este solidã.
cutremur recuperare /refacere a informatiilor 2. -Pereții exteriori și despãrțitori ai camerelor în care sunt instalate echipamentele sistemului sunt din
in caz de cutremur materiale solide.
- -Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up, persoanele
autorizate și verificarea periodicã.
7. -Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare
1. -Instruirea personalului autorizat al sistemului privind modul de acțiune in caz de cutremur.
8. -Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
3. Alimentarene Cãderi ale Lipsa surselor neîntreruptibile de Mica Mare Mediu Implementate
corespunzãto tensiunii de alimentare cu energie electrica. 1. -Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
are cu alimentare 2. -Toate serverele sunt prevazute cu UPS
energie
electrica Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
39
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Mãsuri de control al riscului
Amenințare prod.
Crt nedorit asociatã Impact risc
even.
4. Copierea Dezvaluire Acces neautorizat - Copierea Mica Mare Mediu Implementate
neautorizatã informatii neautorizatã de date / software -Existenta IDS, antivirus, Firewall.
de date / -Instruirea continua a personalului.
software -Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
1. -Utilizatorii cu drepturi de acces limitate ai sistemului trebuie sã aibã o pregãtire corespunzãtoare privind
utilizarea resurselor și serviciilor sistemului.
2. -De asemenea trebuie resprectata politica de securitate existenta.
3. -In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
Configurarea necorespunzãtoare a Mica Mare Mediu Implementate
funcțiilor de securitate ale - Exista elaborata o politica de securitate care sã ținã cont de rolul și misiunea sistemului, grupele de
sistemelor de operare. utilizatori autorizați ai sistemului și de aplicarea principiului necesitãții de a cunoaște.
-Exista elaborarta o procedura de creare a fișierelor de back –up care sã vizeze frecvența, tipul de back-up,
Erori de
persoanele autorizate și verificarea periodicã a fișierelor de back-up.
operare ale
-S-a creat o locatie alternativa de backup in DataCenter-ul X
personalului Lipsa fișierelor de back-up. Mica Mare Mediu - Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul
de productie
Utilizarea Pregãtire de specialitate Mica Mediu Mic
necorespunzã necorespunzãtoare a personalului. Masuri viitoare
toare a Configurarea necorespunzãtoare a Mica Mare Mediu
1. -Cursuri de specialitate
resurselor și funcțiilor de securitate ale
5.
serviciilor Erori de sistemelor de operare.
sistemului programare Lipsa fișierelor de back-up. Mica Mare Mediu
(erori de Pregãtire de specialitate Mica Mare Mediu
utilizare) necorespunzãtoare a personalului.
Lipsa fișierelor de back-up. Mica Mare Mediu
Modificãri
neautorizate Pregãtire de specialitate Mica Mare Mediu
ale software- necorespunzãtoare a personalului.
ului
40

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015

Încărcat de

Drepturi de autor:

Formate disponibile

Exemplu de metodologie privind evaluarea internă a riscurilor operaționale

generate de sistemele informatice

Conceptul de management al riscului

Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor in

Procesul de management al riscului

Implementarea managementului riscului

Managementul riscului necesită implicarea tuturor factorilor atât a celor cu responsabilități

Registrul riscurilor operationale este structurat pe patru categorii:

Riscuri aferente oamenilor pot fi, fără a se limita la:

Riscuri aferente proceselor pot fi, fără a se limita la:

b) Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul

c) Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și atribuțiilor,

Riscuri aferente sistemelor/tehnologiei pot fi, fără a se limita la:

Riscuri aferente mediului extern pot fi, fără a se limita la:

Domeniul prezentei analize de impact este reprezentat de urmatoarele:

Structura organizatorică a entității este formată din următoarele compartimente (structuri

1. ORGANUL SUPERIOR DE CONDUCERE: în funcție de tipul entității acesta poate

Arhitectura infrastructurii IT:

În descrierea activitatii organizației, referitor la sistemele informatice, s-a ținut cont de

- de faptul că există un BCP (business continuity plan) care cuprinde:

 identificarea aplicațiilor critice a căror replicare este necesară în cadrul centrului de

- efectuarea back-up-urilor conform unor proceduri existente

- existența unei politici de securitate informatică cu următoarele obiective:

 Managementul securităţii informaţiei: Măsurile managementului securităţii

Server / Solutie INTRANET

Organizatia a definit o abordare sistematica a evaluarii riscului in procedura internă pentru

Pentru abordarea sistematică a evaluării riscurilor sunt îndeplinite următoarele:

Cresc Cresc Afecteza

Masuri de Reduc Afecteza

Cerinte de Valoare bunuri

Fiecare responsabil de proces (coordonator de unitate funcțională) a identificat resursele de

Resursele de valoare sunt grupate conform urmatoarelor categorii (de ex :):

Stabilirea valorii resurselor și a operațiunilor

Identificarea factorilor de risc

Pentru identificarea factorilor de risc se întocmește o listă a tuturor amenințărilor aplicabile,

Pentru calcularea riscului se definesc, în continuare:

 Probabilitatea riscului (probalilitatea exploatării vulnerabilității),

 Nivelul vulnerabilitatii (poate să apară un incident pentru ca vulnerabilitatea

Nivelul riscului este o funcţie de probabilitatea de producere a unui eveniment nedorit şi de

Pentru exemplificare, a fost realizată o matrice 3x3 corespunzătoare următoarelor niveluri de

Exemplu matrice niveluri de risc

MARE Risc Mediu Risc Mare Risc Mare

MEDIE Risc Mic Risc Mediu Risc Mare

NEGLIJABILÃ Risc Mic Risc Mic Risc Mediu

NEGLIJABILÃ SLABÃ MARE

Activităţi necesare identificării şi evaluării riscurilor şi a măsurilor de securitate

Conducătorii structurilor organizatorice şi întreg personalul ce le compun au obligaţia de a

Coordonatorul structurii organizatorice analizează fiecare formular “Alertă la risc”, primit de

Revizuirea şi raportarea situaţiei riscurilor

În cadrul procesului de revizuire, se analizează dacă:

Anual, conducătorii structurilor organizatorice elaborează un raport cu privire la desfăşurarea

Stabilirea limitelor de toleranţă (toleranţa la risc)

Concluzii analiza riscuri

In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:

1. Definirea evenimentelor critice

5. Restaurarea serviciilor (RTO - Recovery Time Objective)

6. Pierderile de date (RPO - Recovery Point Objective)

Exemplul de evaluare internă a riscurilor operaționale generate de sistemele informatice

Categorie Valoare Valoare Valoare Masuri de

ANEXA 1 la registrul riscurilor

S-ar putea să vă placă și